מודעות, חינוך והדרכה לאבטחת מידע

ISO 27002:2022 – בקרה 6.3 – מודעות, חינוך והדרכה לאבטחת מידע

ISO 27002 בקרה 6.3 מדגיש את הצורך של ארגונים ליישם תוכניות מודעות, חינוך והכשרה לאבטחת מידע כדי להבטיח שעובדים ובעלי עניין רלוונטיים מבינים את אחריותם האבטחה ויכולים להגן ביעילות על נכסי מידע.

מהי Control 6.3?

ISO 27002:2022, בקרה 6.3. מודעות, חינוך והדרכה לאבטחת מידע מכסה את הצורך של עובדי ארגון בקבלת מודעות, חינוך והכשרה מתאימים לאבטחת מידע, בתוספת עדכונים שוטפים של מדיניות אבטחת המידע של הארגון, במיוחד כאשר היא חלה על תפקידם בתפקיד.

הסבר על מודעות, חינוך והדרכה לאבטחת מידע

מודעות לאבטחת מידע, חינוך והדרכה (מודעות לאבטחת IT) הוא תהליך ליידע את המשתמשים על החשיבות של אבטחת מידע ועידודם לשפר את הרגלי אבטחת המחשב שלהם.

יש להודיע למשתמשים על האבטחה סיכונים שיכולים לנבוע מפעילותם וכיצד הם יכולים להגן על עצמם מפני סיכונים אלו.

מודעות, חינוך והכשרה לאבטחת מידע הם מרכיבים קריטיים להצלחתו של כל ארגון. זה קריטי שכל העובדים יבינו את החשיבות של אבטחת מידע וכיצד היא משפיעה על כולם.

ככל שהעובדים יבינו יותר כיצד להגן על עצמם מפני איומי סייבר, כך הארגון שלך יהיה בטוח יותר.

טבלת בקרה של תכונות 6.3

ניתן לקבץ פקדים באמצעות תכונות. כאשר אתה מסתכל על תכונות הבקרה, אתה יכול בקלות רבה יותר לקשר אותה לדרישות התעשייה והטרמינולוגיה המבוססת. התכונות הבאות נמצאות בשליטה 6.3.

סוג הבקרה	מאפייני אבטחת מידע	מושגי אבטחת סייבר	יכולות מבצעיות	תחומי אבטחה
#מוֹנֵעַ	#סודיות	#לְהַגֵן	#אבטחת משאבי אנוש	#ממשל ומערכת אקולוגית
	#יושרה
	#זמינות

ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן

מהי מטרת בקרה 6.3?

מטרת בקרה 6.3 היא להבטיח שאנשי צוות ובעלי עניין רלוונטיים מודעים ומקבלים הכשרה מתאימה למילוי אחריותם לאבטחת המידע.

בקרה 6.3 מכסה מגוון של פעילויות המסייעות להבטיח שלאנשים יהיו הידע והמיומנויות הנדרשות כדי לפעול בתוך הארגון אבטחת מידע מִסגֶרֶת. המוקד העיקרי של זה השליטה היא על פעילויות להעלאת מודעות לגבי חשיבות אבטחת המידע, עידוד פרקטיקה טובה וקידום ציות למדיניות ונהלים רלוונטיים.

בקרה 6.3 הסבר

מודעות, חינוך והכשרה לאבטחת מידע הם מרכיב קריטי באסטרטגיית ניהול הסיכונים הכוללת של הארגון ויש להתייחס אליהם כחלק בלתי נפרד ממדיניות האבטחה של הארגון.

בקרה 6.3 מגדירה את הצורך של ארגונים לקיים תוכנית מודעות לאבטחת מידע המספקת לכל העובדים את הידע והמיומנויות הדרושים כדי להגן על נכסי מידע. הוא מספק הנחיות לגבי מה צריך להיכלל בתוכנית מודעות אפקטיבית.

לדוגמה, ייתכן שהארגון יצטרך להקים הדרכה למודעות אבטחה לפחות מדי שנה, או כנדרש בהערכת הסיכונים, לכל העובדים והקבלנים שהוקצו להם תפקידים בהם יש להם גישה לנכסי מידע רגיש או סוגים אחרים של מידע. מערכות המאחסנות, מעבדות או משדרות נתונים רגישים.

מה כרוך ואיך לעמוד בדרישות

הדרישה לבקרה 6.3 היא שלארגון צריך להיות תהליך כדי להבטיח שהעובדים מקבלים הכשרה נאותה כיצד לבצע את חובותיהם בעבודה בצורה בטוחה ומאובטחת. אינו מתפשר על אבטחת המידע. ניתן להשיג זאת באמצעות אימונים. ניתן להשיג זאת גם באמצעות משאבים מקוונים כגון סרטונים או סמינרים מקוונים.

יש לפתח את תוכניות המודעות, החינוך וההכשרה לאבטחת מידע בהתאם למדיניות אבטחת המידע של הארגון, מדיניות ספציפית לנושא ונהלי אבטחת מידע רלוונטיים. כמו כן, יש לקחת בחשבון את המידע של הארגון שיש להגן ואת בקרות אבטחת המידע המיושמות כדי להגן עליו. זה צריך לקרות מעת לעת.

מודעות היכרות, חינוך והכשרה יכולים לחול על עובדים חדשים כמו גם על אלה שעוברים לתפקידים או משימות חדשות דורשים רמות שונות משמעותית של אבטחת מידע.

קמפיין המודעות צריך לשלב מגוון פעילויות להעלאת המודעות. זה כולל קמפיינים, חוברות, פוסטרים, ניוזלטרים, אתרי אינטרנט, מפגשי מידע, תדרוכים, מודולי למידה אלקטרונית ודואר אלקטרוני.

על פי בקרה 6.3, תוכנית זו צריכה לכסות:

מחויבות ההנהלה לאבטחת מידע בכל הארגון;
היכרות וציות לכללים וחובות ישימים לאבטחת מידע, לרבות מדיניות אבטחת מידע ומדיניות, תקנים, חוקים, חוקים, תקנות, חוזים והסכמים ספציפיים לנושאים;
אחריות אישית על מעשיו וחוסר המעש, כללי אחריות כלפי אבטחת או הגנה על מידע השייך לארגון ובעלי עניין;
בסיסי נהלי אבטחת מידע [למשל דיווח על אירועי אבטחת מידע (6.8)] וכן בקרות בסיס [לדוגמה, אבטחת סיסמאות];
נקודות מגע נוספות ו משאבים למידע נוסף וייעוץ בנושא אבטחת מידע עניינים, לרבות חומרים נוספים למודעות לאבטחת מידע.

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

שינויים והבדלים מ-ISO 27002:2013

ISO 27002: 2022 אינו שליטה חדשה לחלוטין. גרסה זו של ISO 27002, שפורסמה בפברואר 2022, היא עדכון לגרסה הקודמת, שפורסמה בשנת 2013. כתוצאה מכך, פקד 6.3 ב-ISO 27002:2022 אינו פקד חדש לגמרי. זוהי גרסה ששונתה מעט של בקרה 7.2.2 ב-ISO 27002:2013.

פקד 7.2.2 ב-ISO 27002:2013 אינו כולל טבלת תכונות או הצהרת מטרה, הנכללים בבקרה 6.3 של גרסת ISO 27002:2022.

לאחר שאמרנו זאת, מלבד השינוי במספר הבקרה, אין הבדל נוסף שניתן להבחין בין שני הפקדים. למרות העובדה שהביטוי של שני הפקדים שונה, המהות וההקשר של שני הפקדים זהים בעצם.

השפה ב-control 6.3 נוצרה כדי להיות יותר ידידותית למשתמש, כך שאנשים שישתמשו בתקן יוכלו להתייחס טוב יותר לתוכן שלו.

מי אחראי על התהליך הזה?

התשובה לשאלה זו תלויה בארגון שלך. בארגונים רבים, תוכניות המודעות, החינוך וההדרכה לאבטחת מידע מנוהלות על ידי צוות האבטחה. בארגונים אחרים, זה מטופל על ידי מחלקת משאבי אנוש או פונקציה אחרת.

הדבר החשוב הוא לוודא שמישהו אחראי ליצירה ויישום של תוכנית המודעות לאבטחה של הארגון שלך. אדם או מחלקה אלו צריכים להיות גם בפיקוח של מנהל אבטחת המידע (אם אדם אחר אחראי על תפקיד זה).

אדם זה צריך להיות בעל הבנה טובה של אבטחת מידע ולהיות מסוגל לתקשר עם עובדים על נושאים שונים הקשורים לשיטות עבודה מומלצות לאבטחה. אדם זה אמור להיות מסוגל גם לפתח תוכן עבור תוכניות ההדרכה שלך ולקיים מפגשי הדרכה קבועים לעובדים.

חשוב להבין שאבטחת מידע היא לא רק באחריות ה-IT. זו אחריות של כולם. לארגונים צריך להיות צוות של אנשים שאחראים לאבטחה, אבל הם גם צריכים לוודא שכולם מבינים את החשיבות של סודיות ויושרה.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

מה המשמעות של השינויים הללו עבורך?

אתה לא צריך לעשות הרבה כי ISO 27002: 2022 אינו תקן חדש אלא גרסה של גרסת 2013. לכן צפוי שרוב הארגונים לא יצטרכו לבצע שינויים.

עם זאת, אם כבר יישמת את גרסת 2013 של ISO 27002, תצטרך להעריך אם השינויים האלה רלוונטיים לארגון שלך. תצטרך גם לבדוק את תהליכי האבטחה שלך אם כן תכנון הסמכת ISMS. זה יבטיח שהתהליכים שלך תואמים לתקן הנבדק.

מדריך ISO 27002:2022 שלנו, הזמין להורדה בחינם באתר שלנו, מכיל מידע נוסף על האופן שבו ה-ISO 27002 החדש עשוי להשפיע על פעולות אבטחת המידע שלך ISO 27001 הסמכה.

בקרות חדשות ISO 27002

פקדים חדשים

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.7	NEW	אינטליגנציה מאיימת
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.30	NEW	מוכנות ICT להמשכיות עסקית
7.4	NEW	ניטור אבטחה פיזית
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.16	NEW	פעילויות ניטור
8.23	NEW	סינון אינטרנט
8.28	NEW	קידוד מאובטח

בקרות ארגוניות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
5.1	05.1.1, 05.1.2	מדיניות לאבטחת מידע
5.2	06.1.1	תפקידים ואחריות של אבטחת מידע
5.3	06.1.2	הפרדת תפקידים
5.4	07.2.1	אחריות ניהולית
5.5	06.1.3	קשר עם הרשויות
5.6	06.1.4	קשר עם קבוצות עניין מיוחדות
5.7	NEW	אינטליגנציה מאיימת
5.8	06.1.5, 14.1.1	אבטחת מידע בניהול פרויקטים
5.9	08.1.1, 08.1.2	מלאי מידע ונכסים קשורים אחרים
5.10	08.1.3, 08.2.3	שימוש מקובל במידע ובנכסים קשורים אחרים
5.11	08.1.4	החזרת נכסים
5.12	08.2.1	סיווג מידע
5.13	08.2.2	תיוג מידע
5.14	13.2.1, 13.2.2, 13.2.3	העברת מידע
5.15	09.1.1, 09.1.2	בקרת גישה
5.16	09.2.1	ניהול זהות
5.17	09.2.4, 09.3.1, 09.4.3	מידע אימות
5.18	09.2.2, 09.2.5, 09.2.6	זכויות גישה
5.19	15.1.1	אבטחת מידע ביחסי ספקים
5.20	15.1.2	טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21	15.1.3	ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22	15.2.1, 15.2.2	מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23	NEW	אבטחת מידע לשימוש בשירותי ענן
5.24	16.1.1	תכנון והכנה לניהול אירועי אבטחת מידע
5.25	16.1.4	הערכה והחלטה על אירועי אבטחת מידע
5.26	16.1.5	מענה לאירועי אבטחת מידע
5.27	16.1.6	למידה מאירועי אבטחת מידע
5.28	16.1.7	איסוף ראיות
5.29	17.1.1, 17.1.2, 17.1.3	אבטחת מידע בזמן שיבוש
5.30	5.30	מוכנות ICT להמשכיות עסקית
5.31	18.1.1, 18.1.5	דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32	18.1.2	זכויות קניין רוחני
5.33	18.1.3	הגנה על רשומות
5.34	18.1.4	פרטיות והגנה על PII
5.35	18.2.1	סקירה עצמאית של אבטחת מידע
5.36	18.2.2, 18.2.3	עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37	12.1.1	נהלי הפעלה מתועדים

אנשים בקרות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
6.1	07.1.1	סריקה
6.2	07.1.2	תנאי העסקה
6.3	07.2.2	מודעות, חינוך והדרכה לאבטחת מידע
6.4	07.2.3	תהליך משמעתי
6.5	07.3.1	אחריות לאחר סיום או שינוי עבודה
6.6	13.2.4	הסכמי סודיות או סודיות
6.7	06.2.2	עבודה מרחוק
6.8	16.1.2, 16.1.3	דיווח על אירועי אבטחת מידע

בקרות פיזיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
7.1	11.1.1	היקפי אבטחה פיזית
7.2	11.1.2, 11.1.6	כניסה פיזית
7.3	11.1.3	אבטחת משרדים, חדרים ומתקנים
7.4	NEW	ניטור אבטחה פיזית
7.5	11.1.4	הגנה מפני איומים פיזיים וסביבתיים
7.6	11.1.5	עבודה באזורים מאובטחים
7.7	11.2.9	שולחן כתיבה ברור ומסך ברור
7.8	11.2.1	מיקום ומיגון ציוד
7.9	11.2.6	אבטחת נכסים מחוץ לשטח
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	אחסון מדיה
7.11	11.2.2	כלי עזר תומכים
7.12	11.2.3	אבטחת כבלים
7.13	11.2.4	תחזוקת ציוד
7.14	11.2.7	סילוק מאובטח או שימוש חוזר בציוד

בקרות טכנולוגיות

מזהה בקרה ISO/IEC 27002:2022	מזהה בקרה ISO/IEC 27002:2013	שם בקרה
8.1	06.2.1, 11.2.8	התקני נקודת קצה למשתמש
8.2	09.2.3	זכויות גישה מורשות
8.3	09.4.1	הגבלת גישה למידע
8.4	09.4.5	גישה לקוד מקור
8.5	09.4.2	אימות מאובטח
8.6	12.1.3	ניהול קיבולת
8.7	12.2.1	הגנה מפני תוכנות זדוניות
8.8	12.6.1, 18.2.3	ניהול נקודות תורפה טכניות
8.9	NEW	ניהול תצורה
8.10	NEW	מחיקת מידע
8.11	NEW	מיסוך נתונים
8.12	NEW	מניעת דליפת נתונים
8.13	12.3.1	גיבוי מידע
8.14	17.2.1	יתירות של מתקני עיבוד מידע
8.15	12.4.1, 12.4.2, 12.4.3	רישום
8.16	NEW	פעילויות ניטור
8.17	12.4.4	סנכרון שעון
8.18	09.4.4	שימוש בתוכניות שירות מועדפות
8.19	12.5.1, 12.6.2	התקנת תוכנות על מערכות תפעול
8.20	13.1.1	אבטחת רשתות
8.21	13.1.2	אבטחת שירותי רשת
8.22	13.1.3	הפרדת רשתות
8.23	NEW	סינון אינטרנט
8.24	10.1.1, 10.1.2	שימוש בקריפטוגרפיה
8.25	14.2.1	מחזור חיי פיתוח מאובטח
8.26	14.1.2, 14.1.3	דרישות אבטחת יישומים
8.27	14.2.5	ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28	NEW	קידוד מאובטח
8.29	14.2.8, 14.2.9	בדיקות אבטחה בפיתוח וקבלה
8.30	14.2.7	פיתוח במיקור חוץ
8.31	12.1.4, 14.2.6	הפרדת סביבות פיתוח, בדיקה וייצור
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	שינוי הנהלה
8.33	14.3.1	מידע על הבדיקה
8.34	12.7.1	הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.Online עוזר

ISMS.Online הוא פתרון מלא ליישום ISO 27002. זוהי מערכת מבוססת אינטרנט המאפשרת לך להראות שמערכת ניהול אבטחת המידע שלך (ISMS) תואמת עם הסטנדרטים המאושרים תוך שימוש בתהליכים, נהלים ורשימות ביקורת מחושבים היטב.

זוהי לא רק פלטפורמה קלה לשימוש לניהול יישום ISO 27002 שלך, אלא גם כלי מצוין להכשרת הצוות שלך על שיטות עבודה ותהליכים מומלצים של אבטחת מידע, כמו גם תיעוד כל המאמצים שלך.

השמיים יתרונות השימוש ב-ISMS.באינטרנט:

פלטפורמה מקוונת קלה לשימוש שניתן לגשת אליה מכל מכשיר.
זה ניתן להתאמה אישית לחלוטין כדי לענות על הצרכים שלך.
תהליכי עבודה ותהליכים הניתנים להתאמה אישית כדי להתאים לצרכים העסקיים שלך.
כלי הדרכה שיעזרו לעובדים חדשים להתקדם מהר יותר.
ספריית תבניות למסמכים כגון מדיניות, נהלים, תוכניות ורשימות ביקורת.

ISMS.Online מפשטת את תהליך הטמעת ISO 27002 על ידי אספקת כל המשאבים, המידע והכלים הדרושים במקום אחד. זה מאפשר לך לבדוק שה-ISMS שלך עומד בתקן עם לחיצות ספורות של העכבר, שאחרת ייקח זמן רב אם נעשה באופן ידני.

רוצים לראות את זה בפעולה?

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

אנחנו מובילים בתחומנו